Jump to content
Sign in to follow this  
simonak

Kerberos Fehler bei Clients und PDCs

Recommended Posts

Hallo!

 

Habe folgendes Netzwerk. Einen Haupt-DC an einem Standort mit angeschlossenen XP Clients. An zwei anderen Standorten sind jeweils ein DC an dem wiederum XP Rechner angeschlossen sind. Diese haben eine Verbindung zum Haupt-DC über VPN die auch einwandfrei funktioniert und replizieren sich übers DFS. Nun war aber längere Zeit ein DC an einem Nebenstandort nicht an VPN angeschlossen, ohne das dies bemerkt wurde, solange wurde natürlich auch nicht zwischen diesem Server und den beiden anderen repliziert. Nun kommt es zu folgender Fehlermeldung im Eventvwr:

Ereigniskennung: 4

 

The kerberos client received a KRB_AP_ERR_MODIFIED error from the server host/<SERVER>.<DOMAIN>.local. This indicates that the password used to encrypt the kerberos service ticket is different than that on the target server. Commonly, this is due to identically named machine accounts in the target realm (<DOMAIN>.LOCAL), and the client realm. Please contact your system administrator.

 

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

 

Das eigentliche Problem ist, ab und zu können sich Rechner nicht an die Domäne anmelden, weil gesagt wird, dass das Konto oder Passwort nicht stimmt, obwohl alles in Ordnung ist. Meist nach einem Neustart funktioniert es dann. Tritt aber immer häufiger auf. Das andere Problem, mit dem DC der länger nicht Verbunden war stimmt auch was nicht. Gehe ich auf Start-Ausführen und gebe \\Haupt-DC ein sagt er auch Benutzername und Kennwort stimmt nicht. Über die IP gehts. Am DNS liegts definitiv nicht, Haupt-DC kann gepingt werden. Aber so repliziert er auch nicht weiter.

 

Habe hier im Forum auch schon einen Lösungsansatz gefunden, der sich gut anhört:

http://groups.google.de/group/microsoft.public.windows.server.migration/browse_thread/thread/7bfdbd064796c988/19b2ec4613da373f?lnk=st&q=%22The+kerberos+client+received+a+KRB_AP_ERR_MODIFIED+error+from+%22&rnum=3&hl=de#19b2ec4613da373f

 

Ich komme auch soweit bis ich den Netdom Befehl eingebe. Da meldet er mir aber einen Fehler. Habe dies an dem DC ausgeführt, der länger nicht verbunden war und im Text in der Eingabeaufforderung den Namen vom Haupt-DC genommen. Was mache ich falsch? Habe einen Screenshot angehängt:

http://img128.imageshack.us/img128/8271/erthalzp9.jpg

 

Deaktiviere ich den Kerberosdienst an dem Server der länger nicht verbunden war, komme ich kurzfristig wieder normal auf den Haupt-DC drauf. Er repliziert dann auch. Allerdings ist nach ein paar Minuten wieder Schicht im Schacht und alles wie gehabt. Was kann ich tun?

Share this post


Link to post

Den/die Client(s) aus der Domäne entfernen und neu anbinden sollte helfen. Wenn der zweite Server immernoch rumzickt müsste man dann noch über ein Demoten/Promoton des DCs nachdenken. Ansonst die von phoenixcp genannten Tipps durchgehen.

Share this post


Link to post

@phoenixcp leider hat da niemand genau mein Problem beschrieben. Jedenfalls keine Lösung dazu.

 

@Velius Rechner aus der Domäne entfernen bringt auch nix. Außerdem sind manche Rechner gar nicht an der Domäne angebunden, die holen dann nur über VPN E-Mail vom Exchange vom Haupt-DC ab. Das ist aber eine andere Geschichte.

 

Ich würde lieber noch einmal auf den netdom Befehl zurückkommen. Ich glaube das könnte funktionieren, wüsste ich was ich falsch mache. Hat damit noch niemand einmal gearbeitet? Dass ich die Passwörter zurücksetzte?

Share this post


Link to post

 

Ich würde lieber noch einmal auf den netdom Befehl zurückkommen. Ich glaube das könnte funktionieren, wüsste ich was ich falsch mache. Hat damit noch niemand einmal gearbeitet? Dass ich die Passwörter zurücksetzte?

 

 

...http://support.microsoft.com/default.aspx?scid=kb;en-us;325850

Share this post


Link to post

So, habe den netdom Befehl nun wohl richtig ausgeführt. Die Verbindung der 3 Server besteht momentan und alles schaut gut aus. Jetzt hab ich nur eine neue Fehlermeldung, da der eine ReplikationsDC schon länger nicht mehr mit dem Haupt-DC verbunden war. Hier die Meldung in englisch:

 

Event Type: Error

Event Source: NTDS Replication

Event Category: Replication

Event ID: 2042

Date: 7/31/2006

Time: 7:54:00 AM

User: NT AUTHORITY\ANONYMOUS LOGON

Computer:

Description:

It has been too long since this machine last replicated with the named

source machine. The time between replications with this source has exceeded

the tombstone lifetime. Replication has been stopped with this source.

The reason that replication is not allowed to continue is that the two

machine's views of deleted objects may now be different. The source machine

may still have copies of objects that have been deleted (and garbage

collected) on this machine. If they were allowed to replicate, the source

machine might return objects which have already been deleted.

Time of last successful replication:

2006-04-24 09:13:22

Invocation ID of source:

042df6c8-f6b8-042d-0100-000000000000

Name of source:

 

Tombstone lifetime (days):

180

 

The replication operation has failed.

 

Sprich der eine Replikationsserver repliziert immer noch nicht. Fehlermeldung ist ja an sich klar. Was kann ich da jetzt dagegen tun? Habe irgendwo mal gehört, man könnte einen Registrykey ändern, so dass er das Replizieren wieder anfängt. Aber mit welchen Schwierigkeiten muss ich da dann rechnen?

Share this post


Link to post

EventID.net hat zwar nicht den passenden Lösungsvorschlag, die Seite sollte ich mir aber mal merken.:)

 

@Velius Demonten/Promoten find ich sehr aufwendig, wenn es auch andere Möglichkeiten noch gibt. Unter der gleichen Fehlermeldung steht noch folgendes:

 

Setzen Sie die Replikation fort. Möglicherweise werden inkonsistent gelöschte Objekte eingeführt. Sie können die Replikation fortsetzen, indem Sie den folgenden Registrierungsschlüssel verwenden. Es wird empfohlen, zur Wiederherstellung des Schutzes den Schlüssel zu entfernen, sobald das System ein Mal repliziert hat.

Registrierungsschlüssel:

HKLM\System\CurrentControlSet\Services\nTDS\Parameters\Allow Replication With Divergent and Corrupt Partner

 

Weiß darüber evtl. noch einmal jemand etwas? Muss ich einfach nur diesen Registryeintrag anlegen? Als welchen Wert? Sollten gelöschte Objekte wieder auftauchen, soll dies nicht das große Problem sein. Es sollen nur keine Elemente auf einmal fehlen. Habe vorher aber noch einmal eine Sicherung beider Server gemacht. Kann ich das einfach einmal durchführen?

Share this post


Link to post

hallo simonak,

 

ich habe ein ähnliches Problem. Hat das mit dem REG Eintrag bei dir funktioniert?

 

Auf welchen Rechnern haßt du den Reg Schlüssel den eingetragen?

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×
×
  • Create New...